职位需求编号:34884
职位描述:
作为德勤攻击安全团队的一员,您将负责定义、执行和监督渗透测试项目,以发现客户IT系统中的安全漏洞。您将需要报告已发现的漏洞,并提出修复建议。此外,您将在团队中扮演关键角色,其他成员将寻求您作为指导和指导的专家。在这个职位上,您将回应客户的请求,预测并满足客户的问题和需求,并在适用时使用创新方法。您将参与安全和漏洞管理的各个方面,包括但不限于:网络和主机层渗透测试和漏洞评估、防火墙、网络和安全设备审查、Web应用评估、API评估、移动应用评估、红队行动-针对组织安全控制的技术、物理和人员层的攻击、使用手动和自动工具进行源代码审查、恶意软件逆向工程、无线评估、闭会将发现结果呈现给客户、详细报告和提案撰写。
团队介绍:
连续6年全球首位的安全咨询服务公司,没错,就是德勤。网络空间不断演变,带来的威胁也在不断增加。这就是为什么我们的工作比以往任何时候都更有意义(和令人兴奋!)。我们总是走在前面,预测风险,并通过端到端的解决方案保护客户。更重要的是,我们帮助客户通过更安全的系统和政策开启新的机遇。关于我们就说这么多,现在来谈谈你。我们目前正在寻找有经验的渗透测试员,包括高级分析师、经理和高级经理级别,具备以下经验和资格:
• 持有当前的OSCP或CREST认证测试师(CCT)资格,包括基础设施或Web应用程序或类似的认证,或能够通过认证考试
• 对于更高级别的角色,具有红队行动经验,符合CORIE框架或类似框架的能力(例如CBEST、TIBER)
• 在处理执行各种业务功能的应用程序方面具有经验-最好是跨多个行业
• 能够从技术和业务功能的角度理解和评估应用程序
• 在进行Web应用程序渗透测试和编写支持业务和技术级别报告方面具有丰富经验
• 在渗透测试中具有创新和分析能力,特别是对新型设备和环境的渗透测试
• 能够按严格的截止日期工作,并适当地设置工作优先级
• 能够开发脚本或代码来自动化测试和开发定制攻击
• 具备良好的沟通能力,能够向非技术的商业客户解释复杂的技术问题
• 具备优秀的书面表达能力,能够撰写报告和提案,并能够从风险的角度讨论发现,并提供针对客户环境的明确的修复建议
以下是一些相关经验:
• 逆向工程
• Web应用程序
• API和微服务
• 攻击开发
• 应用程序漏洞评估
• 大型机系统
• 移动平台(iOS/Android/Windows等)
• 社会工程学
• 终端保护
• 对防火墙、代理、NIPS/HIPS和网络安全应用等安全设备有实际接触经验
• 熟悉Ajax、XML、SOAP和WS-Security等Web概念
• 熟悉开放源代码安全测试方法手册(OSSTMM)、开放Web应用程序安全项目(OWASP)和国家标准与技术研究所(NIST)特别出版物
• 熟悉渗透测试和漏洞扫描工具,如Cobalt Strike、Kali Linux、dsniff、nessus、nmap、MetaSploit、CoreImpact、Qualys、tcpdump、wireshark、Nikto、Aircrack-ng、Hailstorm、Burp Suite等
• 具备Visual Basic和C/C++或Java语言的编程经验
• 网络:局域网、广域网、互联技术
• 对Azure、AWS和GCP等IaaS环境有良好的了解
为什么选择德勤?
在德勤,我们专注于有趣且有影响力的工作。我们始终在学习、创新和树立标杆,为客户和社会创造积极的影响。我们把教练放在我们的核心,帮助我们的员工在任何方向上发展自己的职业生涯,无论是晋升、转行,甚至是跨国工作。我们秉承多样性、公平和包容的原则。我们有来自不同背景、不同经历、不同性别认同、不同能力和思维风格的多元化团队。我们的共同点是致力于重视每个人的观点,并培养包容性,以便我们的工作环境是我们所有人都能归属的安全空间。我们优先考虑灵活性和选择权。在德勤,您从第一天起就会得到信任。我们知道当员工能够掌控工作的地点和方式,根据客户、团队和个人承诺安排工作时间时,他们能够发挥最佳水平。我们帮助您实现生活和工作的平衡。为了支持您的个人和职业生活,我们提供一系列福利和福利,包括零售折扣、福利假期、有薪志愿者工作日、十二种灵活工作选择、领先市场的产假和回归工作支持计划。下一步对您来说是什么?听起来像是适合您的角色吗?立即申请。通过申请这份工作,您将根据德勤的人才标准进行评估。我们设计这些标准是为了让您在职业生涯中不断成长,为我们的客户提供一致和卓越的德勤员工体验。首选候选人将接受德勤或其外部第三方供应商的背景调查。 
悉尼